OpenSSH 漏洞 [重复]

Question

Peter Sankauskas

Asked: 2009-09-10 13:24:01 +0800 CST2009-09-10 13:24:01 +0800 CST 2009-09-10 13:24:01 +0800 CST

如何禁用 LDAP 上的匿名访问

772

我需要保护我的 LDAP 服务器，但我不太确定最好的方法。我正在运行 Debian "Lenny"，并使用 OpenLDAP (slapd)。

我注意到，如果我运行：

ldapsearch -x -W -b 'dc=example,dc=com' -H 'ldap://127.0.0.1:389/' 'objectclass=*'

并在提示输入密码时按 ENTER，我会得到一个目录条目列表。如果我将其向 Internet 开放，匿名访问是不可接受的，但无法找到禁用匿名访问的方法。

我尝试修改/etc/ldap/slapd.conf为以下内容：

进入 *
    由 dn="cn=admin,dc=example,dc=com" 写
    由 * 无

...但这并不能解决问题。

在此之后，我将让它在 TLS 上运行，但是在仍然允许匿名访问的同时执行该步骤是没有意义的。

有任何想法吗？

3 个回答

Voted

gavanon · Answer 1 · 2016-02-03T11:10:19+08:00

gavanon

2016-02-03T11:10:19+08:002016-02-03T11:10:19+08:00

如果接受的答案对您不起作用（在 Ubuntu 上对我不起作用），请尝试以下操作。

创建 ldiff 文件：

nano /usr/share/slapd/ldap_disable_bind_anon.ldif

粘贴在这个：

dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon

dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc

dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc

然后运行：

ldapadd -Y EXTERNAL -H ldapi:/// -f /usr/share/slapd/ldap_disable_bind_anon.ldif

21

Josh Budde · Answer 2 · 2009-09-10T16:09:06+08:00

Best Answer

Josh Budde

2009-09-10T16:09:06+08:002009-09-10T16:09:06+08:00

要完全禁用匿名绑定，请将此行添加到 slapd.conf：

disallow bind_anon

并重新启动 slapd 服务。

7

sybreon · Answer 3 · 2009-09-10T16:43:38+08:00

sybreon

2009-09-10T16:43:38+08:002009-09-10T16:43:38+08:00

由于您计划很快使用 SSL/TLS，因此您可能需要考虑使用客户端证书验证来进一步加强您的安全性。带有选项的 Stunnel-v -A会做得很好。

0

如何禁用 LDAP 上的匿名访问

SFTP 使用什么端口？

从 IP 地址解析主机名

如何按大小对 du -h 输出进行排序

命令行列出 Windows Active Directory 组中的用户？

Windows 中执行反向 DNS 查找的命令行实用程序是什么？

如何检查 Windows 机器上的端口是否被阻塞？

我应该打开哪个端口以允许远程桌面？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

如何禁用 LDAP 上的匿名访问

3 个回答

相关问题